OpenSSL vá nhiều lỗ hổng nguy hiểm trong năm vừa qua
OpenSSL Foundation được thiết lập để phát hành một số bản vá cho các lỗ hổng bảo mật mới trong phần mềm mã nguồn mở, trong đó có lỗ hổng được đánh giá ở mức độ nghiêm trọng. Và theo tiết lộ mới nhất, OpenSSL phiên bản 1.0.2a, 1.0.1m, 1.0.0r và 0.9.8zf sẽ được phát hành chính thức vào thứ năm. ...
OpenSSL Foundation được thiết lập để phát hành một số bản vá cho các lỗ hổng bảo mật mới trong phần mềm mã nguồn mở, trong đó có lỗ hổng được đánh giá ở mức độ nghiêm trọng. Và theo tiết lộ mới nhất, OpenSSL phiên bản 1.0.2a, 1.0.1m, 1.0.0r và 0.9.8zf sẽ được phát hành chính thức vào thứ năm.
OpenSSL là một mã nguồn mở thực thi của SSL và giao thức TLS. Đây là một công nghệ được hầu hết các trang web sử dụng để mã hóa các phiên giao dịch web, thậm chí máy chủ web Apache quản lý gần một nửa các trang web trên Internet cũng đang sử dụng OpenSSL. Thông tin chi tiết về lỗ hổng bảo mật (CVE-2015-0209, CVE-2015-0285, CVE-2015-0288) chưa rõ ràng tại thời điểm này, mặc dù một số chuyên gia trong ngành đã dự đoán lỗ hổng này rất có thể là POODLE hoặc Heartbleed – lỗi tồi tệ nhất TLS/SSL mà được cho là gây ảnh hưởng lớn đến các trang web hiện nay.
Heartbleed được phát hiện lần đầu vào tháng tư năm ngoái trong một phiên bản trước của OpenSSL, cho phép tin tặc đọc các nội dung dữ liệu được mã hóa của người sử dụng, chẳng hạn như các giao dịch thẻ tín dụng và thậm chí là ăn cắp các khóa SSL từ máy chủ Internet hoặc phần mềm máy khách. Đến tháng sáu, một lỗ hổng Man-in-the-Middle (MITM) nghiêm trọng đã được nhóm dự án OpenSSL phát hiện và khắc phục. Lỗ hổng này chưa nghiêm trọng như Heartbleed, nhưng nó đủ nghiêm trọng để giải mã, đọc hay thao tác trên các dữ liệu được mã hóa, ảnh hưởng đặc biệt đến người dùng Android.
Nhiều tháng sau đó, một lỗ hổng Poodle (Padding Oracle On Downgraded Legacy Encryption) được phát hiện sử dụng rộng rãi giao thức mã hóa Secure Sockets Layer (SSL) 3.0, cho phép tin tặc có thể giải mã nội dung các kết nối được mã hóa tại các trang web.
Gần đây hơn, một lỗ hổng mới có tên là Freak (Factory Attack on RSA-Export Keys) có khả năng cho phép tin tặc buộc khách hàng SSL bao gồm OpenSSL phải tự làm suy yếu tính bảo mật của mật mã, từ đó cho phép chúng tiến hành các cuộc tấn công Man-in-the-Middle. Lỗ hổng nguy hiểm này ảnh hưởng tới nhiều thương hiệu lớn như Apple, smartphone Android, thiết bị BlackBerry và dịch vụ điện toán đám mây cũng như tất cả các phiên bản hệ điều hành của Windows.
Vì vậy, OpenSSL là một dự án phần mềm quan trọng và được xếp hạng là sáng kiến hạ tầng cốt lõi nhất của Linux Foundation. Các công ty lớn bao gồm cả Google, Facebook và Cisco đều tham gia tài trợ cho này dự án này.
Theo THN